Hoe je ransomware bestrijdt met security culture

Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4

“It’s a big problem that’s continuing to get bigger.” Dat schrijft de Amerikaanse telecomprovider Verizon over ransomware in het meest recente Data Breach Investigations Report. In het jaarlijkse rapport monitort het bedrijf de wereldwijde ontwikkelingen op het gebied van datalekken. Uit de verzamelde gegevens blijkt dat organisaties nog altijd niet goed beschermd zijn tegen gijzelsoftware.

Volgens Verizon komt de meeste malware via e-mail binnen bij organisaties. Ruim een kwart van de incidenten met malware betreft ransomware. Dat klinkt als een te behappen percentage, maar de telecomprovider waarschuwt dat het getal stijgt; met name omdat internetcriminelen relatief gemakkelijk met gijzelsoftware aan de slag kunnen. Ze kunnen tegenwoordig zelfs hackers inhuren om het vuile werk te doen, als ze zelf niet weten hoe het werkt.

Omdat e-mails zo’n geschikte ‘drager’ zijn van gijzelsoftware, gaan phishing en ransomware hand in hand. De technieken waarmee gehengeld wordt naar data kunnen net zo goed worden ingezet om slachtoffers ransomware te laten installeren. Het verschil is dat phishing makkelijker te herkennen is. Ransomware wordt in de meeste gevallen pas opgemerkt als het z’n werk gedaan heeft.

Veilig gedrag

Het is daarom verstandig om mensen in de organisatie te trainen op het herkennen van phishing, en ze daarbij bewust te maken van de eventuele aanwezigheid van ransomware in phishing e-mails. Gebruikers met een breed perspectief op de gevaren die aan phishing e-mails kleven zijn onderdeel van een gezonde security culture. Met security culture bedoel ik de ideeën, gebruiken en sociale gedragingen van een groep die hun veiligheid (of die van de organisatie) beïnvloeden.

Je kunt een security culture inzetten om het risico van ransomware-aanvallen te verminderen. Een belangrijk onderdeel van security culture is security awareness training voor medewerkers. Een ander onderdeel is het bevorderen van veilig gedrag met behulp van vastgestelde processen. Dat betekent dat je binnen de organisatie mogelijkheid moet creëren om potentieel gevaarlijke situaties te melden en dat je melders daarvoor beloont. Dat kan met positieve woorden zijn, of met een kans om een klein cadeautje te winnen. In het minste geval straf je medewerkers niet voor het melden van onraad – iets wat ik nog te vaak zie gebeuren, omdat een melding ogenschijnlijk meer werk oplevert voor bepaalde afdelingen.

Naast het trainen van medewerkers en het nastreven van normen en waarden die in een veilige werksfeer opleveren, heeft een gezonde security culture ook de juiste technologie nodig. Als organisatie doe je er goed aan om zoveel mogelijk mitigerende maatregelen te treffen die voorkomen dat gebruikers ten prooi vallen aan bijvoorbeeld gijzelsoftware.

IJzersterke combinatie

Wil je ransomware bestrijden met security culture, dan komt het in het kort dus neer op een combinatie van mens (bewustwording en training), technologie (mitigerende middelen) en processen (een vastgestelde manier om gevaar te melden en die risico’s af te handelen). Weet je die ijzersterke combinatie te bouwen, dan ben je een heel eind op weg naar een robuuste security culture die de organisatie nog tegen veel meer dan alleen ransomware kan beschermen.